Beveiliging van digitale informatie: enkele uitdagingen voor de overheid

1
Beveiliging van digitale informatieenkele
uitdagingen voor de overheid
Frank Robben Algemeen bestuurder Kruispuntbank
Sociale Zekerheid Gedelegeerd bestuur Smals
vzw Sint-Pieterssteenweg 375 B-1040
Brussel E-mail Frank.Robben_at_ksz.fgov.be Website
KSZ www.ksz.fgov.be Persoonlijke website
www.law.kuleuven.ac.be/icri/frobben
Kruispuntbank Sociale Zekerheid
2
Viervoudige rol van de overheid

• instelling van de gepaste organen
• uitwerken van regelgeving inzake de digitale
  beveiliging van informatie
• aanbieden van componenten en diensten ter
  ondersteuning van de beveiliging van digitale
  informatie
• degelijke beveiliging van de digitale informatie
  verwerkt binnen de overheid

3
Instelling van gepaste organen

• overheidsorganen zijn nodig voor
• de bepaling van een overkoepelende strategie
  inzake de beveiliging van digitale informatie
• de gecoördineerde uitwerking van relevante
  regelgeving
• het voeren van een preventiebeleid
• het gecoördineerd beheer van bepaalde ernstige
  incidenten inzake veiligheid van digitale
  informatie
• adviesverstrekking
• de behandeling van klachten
• de machtiging van uitwisseling van
  persoonsgegevens tussen de overheidsdiensten
• de vaststelling en vervolging van strafbare
  inbreuken op de regelgeving

4
Instelling van gepaste organen

• er bestaan reeds talrijke overheidsorganen met
  taken inzake beveiliging van digitale informatie
  zoals
• de Nationale Veiligheidsoverheid (NVO)
• het Coördinatie-orgaan voor de Analyse van de
  Dreiging (OCAD)
• het Overlegplatform voor Informatieveiligheid
• Belnet
• het Belgisch Instituut voor Postdiensten en
  Telecommunicatie (BIPT)
• het Crisiscentrum van de FOD Binnenlandse Zaken
• de Federal Computer Crime Unit (FCCU) van de
  federale politie
• de FOD Economie
• de FOD Informatie- en Communicatietechnologie
• de Kruispuntbank van de Sociale Zekerheid (KSZ)
  en de erkende gespecialiseerde informatieveilighei
  dsdienst bij Smals vzw
• de Commissie voor de Bescherming van de
  Persoonlijke Levenssfeer

5
Instelling van gepaste organen

• er is nood aan
• een duidelijke afbakening van de taken tussen de
  onderscheiden organen
• een afdoende betrokkenheid van de relevante
  actoren bij de werking van de organen
• een degelijke onderlinge coördinatie tussen de
  onderscheiden organen
• voldoende middelen voor de onderscheiden organen,
  gebaseerd op een zero-based budgeting benadering
• een werking van alle organen op basis van
  risico-analyse, zodat een goed evenwicht ontstaat
  tussen beveiliging en efficiëntie

6
Regelgeving inzake beveiliging vandigitale
informatie

• afstemming op inter- of supranationale
  regelgeving
• onderling coherent, vertrekkend van globale visie
  op beveiliging van digitale informatie
• technologieneutraal, met vooral doelstellingen en
  basisprincipes
• aanvulbaar op bepaalde vlakken met gecontroleerde
  zelfregulering
• themata
• bescherming persoonlijke levenssfeer
• classificatie van informatie
• evaluatie, certificatie en homologatie van
  informatiesystemen
• geheim van communicaties
• computercriminaliteit
• elektronische handtekening
• deontologische regels voor beroepen inzake
  informatieveiligheid

7
Aanbod van ondersteunendecomponenten en diensten

• bijvoorbeeld
• organisatie van evaluatie, certificatie en
  homologatie van informatiesystemen
• Computer Security Information Response Team
  (CSIRT)
• basiscomponenten en -diensten voor degelijke,
  gedistribueerde organisatie van gebruikers- en
  toegangsbeheer
• registratie van de identiteit
• identificatie
• authenticatie van de identiteit
• registratie van bepaalde kenmerken en mandaten
• verificatie van bepaalde hoedanigheden en
  mandaten

8
Gebruikers- en toegangsbeheer

• registratie van de identiteit
• natuurlijke personen gemeenten
• ondernemingen ondernemingsloketten
• identificatie uniek identificatienummer voor
  elke entiteit
• natuurlijke personen rijksregister- of
  (subsidiair) KSZ-nummer (samen identificatienummer
  sociale zekerheid (INSZ) genoemd)
• ondernemingen ondernemings- en vestigingsnummer
• authenticatie van de identiteit van een
  natuurlijk persoon in functie van het vereiste
  beveiligingsniveau
• elektronische identiteitskaart
• gebruikersnummer, paswoord en burgertoken
• gebruikersnummer en paswoord

9
Gebruikers- en toegangsbeheer

• registratie van bepaalde hoedanigheden en
  mandaten door daartoe goed uitgeruste
  overheidsdiensten, bijvoorbeeld
• hoedanigheid van gezondheidszorgverstrekker door
  de FOD Volksgezondheid, Veiligheid van de
  Voedselketen en Leefmilieu en het RIZIV in
  onderlinge samenwerking
• mandaat om een onderneming te vertegenwoordigen
  door de RSZ en de ondernemingsloketten in
  onderlinge samenwerking
• verificatie van hoedanigheden en mandaten
  toegang tot gevalideerde authentieke bronnen
• autorisatie tot gebruik van een toepassing
  beheer door aanbieder van de toepassing
• uitgebouwd via een generiek policy enforcement
  model

10
Policy Enforcement Model
Actie
op
Actie
toepassing
Policy
op
GEWEIGERD
toepassing
Gebruiker
Toepassing
Toepassing
TOEGESTAAN
(
PEP
)
Actie
op
toepassing
Beslissings
Beslissings
aanvraag
antwoord
Informatie
Vraag
/
Policy
Ophalen
Antwoord
Policies
Beslissing
(
PDP
)
Informatie
Vraag
/
Antwoord
Autorisatie
Policy Administratie
Policy Informatie
Policy Informatie
beheer
(
PAP
)
(
PIP
)
(
PIP
)
Beheerder
Authentieke bron
Authentieke bron
Policy
repository
11
Implementatie over sectoren heen
Niet-sociale FODs (Fedict)
Be-Health
Sociale sector (KSZ)
USER
USER
USER
APPLICATIONS
APPLICATIONS
APPLICATIONS
Authorisation
Authen
-
Authorisation
Authen
-
Authorisation
Authen
-
tication
tication
tication
PEP
PEP
PEP
WebApp
WebApp
WebApp
Role
Role
Role
XYZ
XYZ
XYZ
Mapper
Mapper
Mapper
Role
Role
Role
Mapper
Mapper
Mapper
DB
DB
DB
PDP
Role
PAP
PDP
PDP
Role
Role
PAP
PAP
Provider
Role
Provider
Provider
Role
Kephas
Role
Kephas
Kephas
DB
Provider
DB
DB
Provider
Provider
PIP
PIP
PIP
PIP
PIP
PIP
PIP
PIP
PIP
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Beheer
DB
DB
Beheer
Beheer
Gerechts- deurwaar- ders
DB
DB
DB
DB
DB
UMAF
RIZIV
XYZ
XYZ
XYZ
GAB
Mandaten
XYZ
GAB
Mandaten
GAB
12
Beveiliging van (digitale) overheidsinformatie

• via stapsgewijze verfijning wordt geleidelijk aan
  een overheids-instelling-overkoepelend
  informatieveiligheidsbeleid uitgewerkt op basis
  van risico-analyse en internationale standaarden,
  zoals de ISO-normenreeks 27000
• de veiligheid, de integriteit, de
  vertrouwelijkheid en de beschikbaarheid van de
  verwerkte informatie wordt gewaarborgd door een
  geïntegreerd geheel van maatregelen die het
  informatie-veiligheidsbeleid uitvoering geven
• structurele
• institutionele
• organisatorische
• ICT-technische
• fysieke
• personeelsgebonden

13
Beveiliging van (digitale) overheidsinformatie

• persoonsgegevens worden enkel gebruikt voor
  doeleinden die verenigbaar zijn met de doeleinden
  waarvoor ze zijn ingezameld
• persoonsgegevens zijn slechts toegankelijk voor
  daartoe gemachtigde gebruikers in functie van de
  bedrijfsbehoeften, de regelgeving of de
  toepassing van het beleid
• persoonsgegevens worden niet centraal opgeslagen,
  maar volgens een afgesproken taakverdeling
  gedistribueerd bewaard in authentieke bronnen
• de machtiging voor de toegang tot
  persoonsgegevens wordt, buiten de gevallen waarin
  ze wettelijk is toegestaan, verleend door een
  door het Parlement benoemd sectoraal comité van
  de Commissie voor de Bescherming van de
  Persoonlijke Levenssfeer, nadat is vastgesteld
  dat aan de hoger vermelde voorwaarden is voldaan
• de toegangsmachtigingen zijn publiek

14
Beveiliging van (digitale) overheidsinformatie

• elke concrete elektronische uitwisseling van
  persoonsgegevens wordt preventief getoetst op
  conformiteit met de geldende toegangsmachtigingen
  door een onafhankelijke trusted third party,
  zijnde een andere instantie dan degene die de
  informatie ter beschikking stelt of de informatie
  nodig heeft, die daartoe de wettelijke opdracht
  heeft gekregen (bvb. de KSZ)
• elke elektronische uitwisseling van
  persoonsgegevens wordt door de trusted third
  party gelogd om eventueel oneigenlijk gebruik ex
  post te kunnen traceren
• telkens de informatie wordt gebruikt voor een
  beslissing wordt aan de betrokkene de gebruikte
  informatie meegedeeld bij de mededeling van de
  beslissing
• elke persoon heeft recht op toegang en, in geval
  de gegevens onjuist zijn, op verbetering van zijn
  eigen persoonsgegevens

15
Beveiliging van (digitale) overheidsinformatie

• bij elke overheidsinstelling die informatie
  (elektronisch) verwerkt wordt een interne
  informatieveiligheidsdienst ingericht met een
  adviserende, stimulerende, documenterende en
  intern controlerende functie
• de interne informatieveiligheidsdienst werkt een
  ontwerp van informatieveiligheidsplan en budget
  uit, dat door het bevoegde beslissingsorgaan van
  de overheidsinstelling wordt goedgekeurd, en
  stelt ten behoeve van dat beslissingsorgaan een
  jaarlijks informatieveiligheidsrapport op
• de verantwoordelijken voor de interne
  informatieveiligheidsdiensten werken samen in een
  werkgroep Informatieveiligheid met het oog op de
  nodige coördinatie op het vlak van
• het vastleggen van het informatieveiligheidsbeleid
  
• het uitvoeren van het informatieveiligheidsbeleid
• het voorstellen van minimale normen inzake
  informatieveiligheid

16
Beveiliging van (digitale) overheidsinformatie

• de minimale normen inzake informatieveiligheid
  worden goedgekeurd door (het bevoegde sectorale
  comité van) de Commissie voor de Bescherming van
  de Persoonlijke Levenssfeer
• alle overheidsinstellingen worden jaarlijks
  bevraagd over de naleving van de minimale normen
  bij niet-naleving worden gerichte
  verbeteringsmaatregelen afgesproken of opgelegd
• de interne informatieveiligheidsdiensten worden
  bij hun werking ondersteund door een
  gespecialiseerde informatieveiligheidsdienst, die
  voldoet aan bepaalde erkenningsvoorwaarden inzake
  deskundigheid, onafhankelijkheid en werking aan
  kostprijs de erkenning wordt verstrekt door de
  Regering op advies van (het bevoegde sectorale
  comité van) de Commissie voor de Bescherming van
  de Persoonlijke Levenssfeer

17
Beveiliging van (digitale) overheidsinformatie

• de minimale veiligheidsnormen hebben betrekking
  op
• risico-analyse en beheer
• informatieveiligheidspolicies
• beheer en organisatie van de informatieveiligheid
• inventarisering en classificatie van informatie
• human resources veiligheid
• fysieke beveiliging en beveiliging van de
  omgeving
• beheer van dienstverlenende en communicatieprocess
  en
• verwerking van persoonsgegevens
• gebruikers- en toegangscontrole
• verwerving, ontwikkeling en onderhoud van
  informatiesystemen
• beheer van informatieveiligheidsincidenten
• beschikbaarheids- en continuïteitsbeheer
• compliance interne en externe controle
• communicatie van het beleid en de maatregelen
  inzake informatieveiligheid naar de stakeholders

18
Meer informatie

• website Commissie voor de Bescherming van de
  Persoonlijke Levenssfeer
• http//www.privacycommission.be/
• website Kruispuntbank van de Sociale Zekerheid
• http//www.ksz.fgov.be
• website Federale Overheidsdienst Informatie- en
  Communicatie-technologie (Fedict)
• http//www.fedict.be
• website Smals vzw (erkende gespecialiseerde
  informatieveiligheids-dienst)
• http//www.smals.be
• persoonlijke website van Frank Robben
• http//www.law.kuleuven.ac.be/icri/frobben

19
D_at_nk u !Vragen ?
Kruispuntbank Sociale Zekerheid
Brussel, 10 december 2007